微软十月补丁星期二值得关注的漏洞

本月微软共修复了172个漏洞，其中包括6个0day且3个已遭利用。这些漏洞具体包括80个提权漏洞、11个安全特性绕过漏洞、31个远程代码执行 (RCE) 漏洞、28个信息泄露漏洞、11个拒绝服务漏洞以及10个欺骗漏洞。微软还在本月早些时候修复了位于 Azure、Mariner、Edge等产品中的漏洞，因此本月共修复195个漏洞。

值得一提的是，Windows 10在今天停服，本次补丁星期二是微软对这个易受攻击操作系统提供免费安全更新的最后一次。用户如需继续接收 Windows 10安全更新，需要购买为期一年的延期安全更新 (ECU) 服务，企业可购买总计3年的服务。

6个0day

微软对0day漏洞的定义是在官方修复方案发布前被公开披露的或遭活跃利用的漏洞。

CVE-2025-24990是位于 Windows Agere 调制解调器驱动中的提权漏洞。该漏洞可导致攻击者在安装 Agere 调制解调器驱动的系统上提升到管理员权限。问题在于这些驱动是受支持 Windows 版本上原生交付的。由于它们属于遗留驱动，因此解决方案是删除恶意文件。微软并未说明攻击的规模，但鉴于易受攻击的文件位于所有 Windows 系统中，因此用户因将其视为规模广泛的攻击并立即更新。

CVE-2025-59230是位于 Windows Remote Access Connection 管理器中的提权漏洞。该漏洞可导致威胁人员在受影响目标上以系统权限执行代码。这些漏洞类型经常与代码执行漏洞组合用于完全接管系统。虽然微软并未说明攻击的范围，但鉴于所有 Windows 版本受影响，因此用户应立即测试并部署这些补丁。

CVE-2025-47827是位于 IGEL OS 11版本之前的安全启动绕过漏洞。IGEL 是基于 Linux 的操作系统，设计上以应用程序为中心，且具有模块化特性。厂商介绍称，无论底层操作系统是什么，均可交付应用，因此该漏洞更耐人寻味。攻击者竟然能够物理接触到采用该配置的设备，并绕过安全启动功能，从而获取了访问权限。该漏洞可能会被用于极具针对性的攻击活动中，但由于它影响所有受支持的 Windows 版本，因此应尽快应用补丁。

如下三个漏洞是遭公开利用的 0day 漏洞。

CVE-2025-0033是AMD EPYC 处理器在使用“安全加密虚拟化-安全嵌套分页 (SEV-SNP)” 技术时触发的一个漏洞。该漏洞涉及在反向映射表 (RMP) 初始化过程中出现的一个条件竞争，可导致恶意或受陷监控程序在RMP条目被锁定前对其进行修改，从而可能影响 SEV-SNP guest 内存的完整性。该漏洞并不会暴露明文数据或机密信息，且需要对管理程序具有特权控制才能利用。

微软提到，“在 Azure 机密计算产品中部署了防止主机被入侵的多重安全防护措施，如隔离、完整性验证和持续监控。所有主机操作都遵循经过审计和批准的管控流程，管理访问权限受到严格限制、控制和记录。这些保护机制共同降低了主机被入侵或越权操作内存的风险，有助于确保机密工作负载和客户虚拟机在 Azure 主机上保持机密性与完整性。”

微软表示，针对 Azure 机密计算中基于 AMD 的集群的漏洞更新尚未完成。客户将在更新可用时，通过 Azure Service Health Alerts 收到通知。

CVE-2025-24052是位于 Windows Agere 现代驱动中的提权漏洞，类似于上文提到的CVE-2025-24990。微软强调称该漏洞影响所有 Windows 版本，无需使用该调制解调器即可利用该漏洞。

CVE-2025-2884是位于 TCG TPM 2.0 引用实现中的越界读取漏洞，可导致信息泄露或 TPM 拒绝服务。微软解释称，“CVE-2025-2884 涉及 TCG TPM 2.0 参考实现中的 CryptHmacSign 辅助函数存在的一个漏洞，由于未对签名方案与签名密钥算法进行验证，该函数容易受到越界读取攻击。该 CVE 编号由计算机紧急响应小组协调中心 (CERT/CC) 代表相关方创建。已发布的 Windows 更新中包含了针对 TCG TPM 2.0 参考实现的更新，修复了该漏洞。”

其它值得关注的漏洞

CVE-2025-59287是一个位于 Windows Server Update Service (WSUS)中的 RCE 漏洞。虽然该漏洞未被列为已遭利用状态，但可能很快就会成为攻击目标。该漏洞的CVSS评分为9.8，可导致远程未认证的攻击者在无需用户交互的情况下利用，并以高权限执行代码。这意味着该漏洞在受影响的 WSUS 服务器之间具有蠕虫传播的潜在风险。由于 WSUS 仍然是任何关键基础设施中的关键组件，因此是攻击者的香饽饽。WSUS用户应尽快测试并部署该更新。